一、xss攻擊
xss攻擊(Cross Site Scripting)全稱跨站腳本攻擊,通過嵌入惡意腳本代碼到正常的用戶能訪問到的網頁,當用戶正常訪問該頁面時,執行惡意代碼,是非常普遍的一種web漏洞,xss攻擊可竊取cookie資訊,監聽用戶行為,威脅web服務器安全,危害極大,二、xss漏洞
比如說HTML超文本標記語言中<>標識開始,在動態頁面中插入<Javascript腳本語言>,使得網頁誤以為插入了HTML語言,而成功執行Javascript腳本語言,xss攻擊就利用了xss漏洞,執行腳本語言,
三、分類
1. 反射型xss攻擊
反射型xss攻擊是非持久型的,只執行一次,常見于誘導用戶點擊的惡意鏈接,
如:惡意鏈接
https://aa.com/error.php?message=<script>alert(''xss攻擊'');</script> |
攻擊者將帶有惡意鏈接的Email發送給用戶,用戶點擊url,進入該頁面,執行嵌入在url中的Javascript腳本代碼
<script>alert(''xss攻擊'');</script>, |
如果我們吧改成其他的更有惡意的腳本代碼,我們可以輕松獲取用戶cookie,
2. 存盤型xss攻擊
>存盤型xss攻擊是持久型的,會直接威脅web服務器安全,無需用戶點擊特定的url就可執行腳本攻擊,
常見于頁面資料交匯處,如:評論,修改用戶資訊,登錄,留言板,搜索等地方,
攻擊者將腳本代碼嵌入留言區等,提交到服務器,其他用戶登錄時也會執行該腳本代碼,
三、常見的xss攻擊代碼
1. 自動彈出
<body onl oad="alert('xss')"></body>
2、撐滿螢屏
<p onclick="alert('1')" style="postion:fixed;width:100%;heith:100%"> </p>
3、增加屬性觸發
<input onfocus="alert('1')" autofocus/>
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/240786.html
標籤:其他
上一篇:rs232串口接收部分機器出現亂碼,請問如何測驗其指標
下一篇:檔案上傳漏洞